Cittadinanza digitale Sicurezza Informatica Sanità digitale Industry 4.0/Innovazione in azienda Infrastrutture digitali Procurement dell'innovazione Fatturazione elettronica Documenti digitali Scuola digitale Cultura e società digitali Mercati digitali Startup Strumenti Sostenibilità e smart city Intelligenza Artificiale In poche parole

privacy

GDPR e ricerca medica: alternative al consenso per il trattamento dati

Home Sanità digitale
Partecipa al dibattito
Indirizzo copiato

L’interpretazione che impone sempre il consenso per la ricerca scientifica sui dati sanitari è obsoleta. Il nuovo quadro GDPR prevede basi giuridiche alternative legittime per trattamenti biomedici ed epidemiologici

Pubblicato il 10 lug 2025
Silvia Stefanelli

Studio Legale Stefanelli & Stefanelli

dati sanitari e consenso

È interpretazione giuridica comune che il trattamento dei dati per finalità di ricerca scientifica in ambito medico, biomedico ed epidemiologico debba trovare la propria base giuridica, sempre, nel consenso.

Da tale interpretazione discende anche un’altra convinzione ampiamente diffusa: il divieto di poter trattare i dati sensibili sulla base dell’ uso secondario, proprio perché occorre sempre il consenso.

Privacy e studi clinici: obblighi, esenzioni, garanzie

Interpretazione dell’art. 110 Codice Privacy: tra passato e presente

Chi scrive ritiene che tale convinzione “soffra” di un approccio interpretativo derivante dal “vecchio” Codice Privacy che ha portato ad una non corretta interpretazione anche del nuovo quadro normativo.

Più esattamente l’art. 110 Codice Privacy, mantenendo l’architettura del precedente Codice Privacy (con un semplice “maquillage” posto in essere da un frettoloso legislatore della legge 101/’98) imporrebbe obbligatoriamente come base giuridica il consenso; inoltre tale “imposizione” sarebbe legittima ai sensi dell’art. 9 par. 4 GDPR configurando una “ulteriore condizione” o “limitazione” legittimata prevista dal suddetto articolo.

Si ritiene, invece, che esistano oggi molte argomentazioni giuridiche che possono supportare una interpretazione diversa della norma e che quindi legittimano la possibilità di utilizzare altre basi giuridiche per la ricerca medica, biomedica ed epidemiologica.

Vediamole insieme.

Una nuova “lettura” dell’art. 110 Codice Privacy

L’art. 110 Codice Privacy – come già sopra accennato – ha mantenuto la stessa identica formulazione lessicale del precedente art. 110 (che nasceva però nel quadro giuridico della dir. 95/46/CE e quindi all’interno di una cornice legale completamente diversa)

L’incipit dell’articolo non è quindi cambiato:

1. Il consenso dell’interessato per il trattamento dei dati relativi alla salute, a fini di ricerca scientifica in campo medico, biomedico o epidemiologico, non è necessario quando la ricerca è effettuata …

Tale mancata modifica da parte del (frettoloso) legislatore della legge 101/’98 ha portato a ritenere che, nonostante il mutato quadro normativo, la norma dovesse essere interpretata nel senso che il consenso è l’unica base giuridica utilizzabile (cioè è una base giuridica obbligatoria) e l’art. 110 disciplina:

  1. le ipotesi in cui il consenso non è necessario
  2. cosa si deve fare quando non è possibile raccogliere il consenso

A parere di chi scrive però questa interpretazione, se poteva essere accettabile in vigenza dei principi della Dir 95/46/CE, appare invece non conforme e contraria al GDPR.

La stessa infatti appare non in linea con l’art. 9 par 4 GDPR: tale norma infatti consente di “mantenere o introdurre ulteriori condi­zioni, comprese limitazioni” ma non di imporre, obbligatoriamente una base giuridica.

Questa considerazione giuridica deve spingere l’interprete a cercare una nuova “lettura” della norma, che potremmo definire “GDPR orientata”.

Più esattamente, tenuto conto dei principi del nuovo quadro normativo, si ritiene che l’art. 110 (pur in assenza di modifica legislativa) potrebbe essere interpretato in questo senso:

Tale nuova lettura della norma oltre a riportarla in un alveo di coerenza con l’art 9 per. 4, trova oggi in proprio conforto anche in altri recenti documenti.

Il parere del Garante privacy: alternative al consenso nella ricerca

Nel Provvedimento Garante privacy del 27 aprile 2023 [9898815] emesso nei confronti della azienda Società Tiziana Life Sciences PLC e della società Longevia si afferma che il consenso non è l’unica base giuridica per il trattamento di ricerca nell’ambito dei dati sanitari.

Più esattamente la società negli atti di difesa sosteneva proprio che non sarebbe consentito introdurre il consenso come condizione di liceità del trattamento in forza del disposto dell’art. 9, par. 4, del Regolamento.

A fronte di tale contestazione il Garante così afferma (punto 5.2.1)

..l’art. 110 del Codice, non circoscrive le basi giuridiche utilizzabili per il trattamento dei dati sulla salute (e quindi anche genetici) per scopi di ricerca medica al solo consenso degli interessati (cons. 35 del Regolamento). Il principio dell’alternatività delle basi giuridiche resta infatti salvo anche in questo settore.

L’articolo in esame – del quale prima di ogni eventuale disapplicazione si impone una lettura e interpretazione conforme alla normativa comunitaria in materia di protezione dei dati personali- nell’enucleare quelle che possono essere le principali basi giuridiche del trattamento dei dati personali in campo di ricerca medica, biomedica e epidemiologica, con particolare riferimento al consenso -tenuto anche conto che generalmente in tale ambito i dati personali sono raccolti direttamente presso gli interessati arruolati nei progetti di ricerca- anche in linea con le rilevanti dichiarazioni di diritto internazionale nel settore …

Resta fermo, inoltre, che la ricerca può trovare la sua base giuridica anche nelle altre ipotesi di deroga al divieto di trattare le particolari categorie di dati quali le disposizioni che disciplinano il trattamento di tali dati per il perseguimento di un compito di interesse pubblico anche nel settore della sanità pubblica (art. 9, par. 2, lett. g), i) e art. 2-sexies lett. cc.) del Codice.

Pacifico dunque che il Garante stesso riconosce il principio di alternatività delle basi giuridiche in ambito di ricerca medica, biomedica e epidemiologica.

L’EDPB e il trattamento dei dati sanitari per ricerca: alternative al consenso

È noto poi che EDPB nel “Document on response to the request from the European Commission for clarifications on the consistent application of the GDPR, focusing on health research – Adopted on 2 February 2021” distingue chiaramente tra consenso ad essere arruolati nella ricerca (sempre necessario) e consenso al trattamento dei dati.

Più esattamente in relazione a quest’ultimo nel documento si legge che

  • Ethics standards cannot be interpreted in such a way that only explicit consent of data subjects can be used to legitimise the processing of health data for scientific research purposes. Article 6 and Article 9 GDPR contain other options for a legal basis and an exemption, that can be relied on for processing health data for scientific research purposes. The requirement of informed consent for participation in a scientific research project can and must be distinguished from explicit consent as a possibility to legitimise the processing of personal data for scientific research purposes.

Il regolamento sull’Health Data Space: una nuova visione sul trattamento dei dati

Da ultimo il recentissimo Regolamento sull’European Health Data Space relativo all’uso primario e uso secondario dei dati sanitari.

Più esattamente al considerando Considerando 52 così di afferma

il presente regolamento fornisce una base giuridica per l’uso secondario dei dati sanitari elettronici personali, comprese le garanzie richieste a norma dell’articolo 9, paragrafo 2, lettere da g) a j), del regolamento (UE) 2016/679 per consentire il trattamento di categorie particolari di dati, in termini di finalità legittime, governance affidabile per fornire l’accesso ai dati sanitari, attraverso il coinvolgimento di organismi responsabili dell’accesso ai dati sanitari, e il trattamento in un ambiente sicuro, nonché modalità per il trattamento dei dati, stabilite nell’autorizzazione ai dati. Di conseguenza, gli Stati membri non dovrebbero più poter mantenere o introdurre, a norma dell’articolo 9, paragrafo 4, del regolamento (UE) 2016/679, ulteriori condizioni, comprese limitazioni e disposizioni specifiche che richiedono il consenso delle persone fisiche, per quanto riguarda il trattamento per l’uso secondario dei dati sanitari elettronici personali a norma del presente regolamento, ad eccezione dell’introduzione di misure più rigorose e garanzie supplementari a livello nazionale intese a tutelare la sensibilità e il valore di taluni dati come previsto dal presente regolamento.

Questo passaggio sembra scritto per l’Italia, dove la visione “consensocentrica” per la ricerca medica si è portata dietro la convinzione del divieto dell’uso secondario dei dati ai fini di ricerca medica.

Peraltro, a ben vedere, neppure l’art. 110-bis del nostro Codice Privacy sembra poter legittimare un divieto di uso secondario dei dati (nozione oggi chiaramente definita dall’art. 2 lett. e) del reg. 2025/327 – Health data Space) in quanto lo stesso articolo parla di trattamento “ulteriore” (e quindi utilizza un termine diverso) e comunque opera nell’ambito di trasferimento dai dati dal titolare ad un soggetto diverso.

Prospettive future per la ricerca scientifica

Forse è tempo di voltare pagina e capire che il consenso è “una” delle basi giuridiche utilizzabili, ma non è l’unica.

Ne abbiamo altre, che possiamo cominciare a valutare: quali ad esempio l’art. 9 lett. g) in combinazione con l’art. 2-sexies Codice Privacy per la Pubblica amministrazione.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

S
Silvia Stefanelli
Studio Legale Stefanelli & Stefanelli
Seguimi su

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Argomenti

Canali

Con o Senza – Galaxy AI per il business

Tutti
Mobile security
AI per il lavoro
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone

Articoli correlati

  • data protection officer

  • la guida

    DPO, chi è il data protection officer e perché è una figura controversa

    07 Apr 2025

    di Antonino Polimeni

    Condividi
  • telemarketing selvaggio (1)

  • l'esperienza consumer

    Migliorare la compliance nel telemarketing: cosa funziona e cosa no

    09 Apr 2025

    di Sergio Aracu

    Condividi
  • gdpr sentenze cgue (1)

  • trasferimento dati

    Privacy violata, l'Ue sanziona sé stessa: impatti della sentenza Bindl

    17 Feb 2025

    di Alessandra Lucchini

    Condividi